Come riportato dai colleghi di Bleeping Computer, Google ha pubblicato recentemente un codice JavaScript proof-of-concept (PoC) per dimostrare l'utilizzo di exploit che sfruttano la vulnerabilità nota come Spectre che potenzialmente potrebbe portare eventuali malintenzionati a ricavare dati sensibili tramite il browser. Come probabilmente già saprete, Spectre non è completamente eliminabile dato che è legato all’hardware del processore, quindi può essere usato indipendentemente dal sistema operativo impiegato, anche su diverse architetture e generazioni di CPU. In particolare, è stata creata una demo interattiva su leaky.page, mentre un articolo su GitHub spiega nel dettaglio il suo funzionamento.
Dalla sua scoperta, gli sviluppatori di OS e programmi hanno fatto in modo di ovviare in parte al problema, ad esempio implementando meccanismi di sicurezza come il Site Isolation, out-of-process iframes, Cross-Origin Read Blocking per spostare le parti di memoria dove sono presenti dati importanti. Infatti, Spectre, se correttamente sfruttato, può portare alla scoperta di password, documenti e qualsiasi altro dato sensibile presente nella memoria protetta.
Google consiglia di utilizzare inoltre altri sistemi per mitigare gli attacchi Spectre, come Cross-Origin Resource Policy (CORP) e Fetch Metadata Request Headers, così da controllare quali siti possono incorporare le proprie risorse, Cross-Origin Opener Policy (COOP) e Cross-Origin Embedded Policy (COEP). Inoltre, il team di sicurezza del gigante del web ha creato un’utile estensione per Chrome, chiamata Spectroscope, per aiutare gli sviluppatori a proteggere i siti web da attacchi Spectre. Spectroscope analizza le app Web alla ricerca di risorse che potrebbero richiedere l'abilitazione di ulteriori difese di sicurezza contro gli attacchi Spectre.
Un paio di settimane fa vi abbiamo riportato anche che il ricercatore Julien Voisin aveva individuato un exploit che sfrutta Spectre su sistemi equipaggiati con Linux e Windows sulla piattaforma di analisi di malware VirusTotal. Per ulteriori dettagli in merito, vi consigliamo la lettura della nostra precedente notizia.
Avete bisogno di una licenza di Windows 10 Pro per il vostro nuovissimo PC da gaming? Su Amazon è disponibile a pochi euro, non perdetevela.